Auditoria Akicars, C.A
Integrantes: Antony correa Luis VelĂĄzquez MarĂa Flores Alfonsina Guadalupe.
INTRODUCCIÓN Una auditoria es una avaluación crítica de los procesos desarrollados en un área dentro de la empresa, donde se observa la exactitud y autenticidad de los resultados de dichos procesos. El objetivo principal la auditoria consiste en dar apoyo a los miembros de la empresa, basándose en el análisis y evaluación de información detallada de las actividades revisadas, para lograr el mejor desempeño de las mismas. La auditoría de Sistemas se enfoca en la búsqueda de los problemas existentes dentro de los sistemas utilizados, para proponer las soluciones posteriores, presentando recomendaciones para que se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar u optimizar los procesos. El proyecto que se presenta a continuación tiene como objetivo el Desarrollo de una Propuesta de Servicios de Auditoria en Informática dentro de Akicars, C.A. El Servicio de auditoria estará dirigido a realizar una revisión exhaustiva de los procesos sistémicos existentes, así como también la evaluación referente al control y procesamiento de la información, verificando el grado de eficiencia para presentar conclusiones encaminadas a corregir las deficiencias existentes. Por otro lado la evaluación de los requerimientos del negocio, los recursos y procesos IT, son puntos bastante importantes para el buen funcionamiento de una cualquier empresa y para el aseguramiento de su supervivencia en el mercado. El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.
OBJETIVOS Recolectar información sobre el control de la información dentro de la empresa. Evaluar dicha información y verificar si la misma es manejada de forma correcta. Garantizar que el Sistema mantiene la integridad de los datos y cumple con los objetivos planteados por la empresa. Llevar a cabo las actividades necesarias para la revisión de los procesos, aplicando el uso de las técnicas y herramientas necesarias. JUSTIFICACIÓN El auge que ha tomado las Tecnologías de la Información y todos aquellos recursos que permitan la automatización de los procesos, hace indispensable a los Sistemas de Información en toda organización, puesto que constituyen una poderosa herramienta que facilita el control en el flujo de información. Hoy en día, las empresas en buscan hacerse cada día más dinámicas y ganar ventajas competitivas respecto a las demás, buscan optimizar sus procesos con el fin de ofrecer calidad en sus servicios que se traduce en eficiencia y confiabilidad es por ello que el aspecto más importante que se debe considerar es sin duda la seguridad. En la búsqueda de la excelencia, surge la necesidad de llevar eficientemente todos los Procesos, es entonces donde, la auditoria de Sistemas interviene proporcionando una herramienta que garantice el manejo correcto de la información y por lo tanto el buen funcionamiento de sus actividades y por lo tanto sea un apoyo para la empresa en cuanto a optimización de los servicios, eficiencia en sus procesos y actividades operativas y aumento en la productividad.
Mediante el servicio de auditoria se puede verificar y planificar las actuales prácticas en el manejo de información que
permitan medir y/o aumentar la
productividad y eficiencia. Gracias a esto podemos determinar si cumplen realmente con los lineamientos y/o parámetros establecidos dentro de los estándares de calidad conocidos mundialmente. ALCANCE Las empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para optimizar sus procesos. Estas también entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, así como la dependencia de los Sistemas de Información en muchos de estos procesos, por tales motivos la auditoria estar enfocada en verificar y analizar dichos procesos , y comparar si el manejo de la información se rige en los actuales estándares de calidad , saber si apoyan la productividad de las estrategias de gestión y seguimiento de la misma y confirmar si actualmente la estructura de las Bases de Datos se encuentra normalizada siguiendo estándares actuales del modelo relacional. La auditoría se llevara a cabo, en el área que se encarga del manejo automático de la información y el Sistema utilizado, con la finalidad de verificar su funcionalidad. DESCRIPCIÓN DE LA EMPRESA Akicars, C.A; Es una empresa de asesoramiento técnico y distribución de repuestos originales koreanos y partes eléctricas para todo tipo de vehículo a nivel Regional y Nacional. Tiene como Misión ser una Empresa con trabajadores plenamente motivados para prestar un Servicio Integral y garantizar una asesoría técnica y distribución de
repuestos originales en vehículos Koreanos y obtener como resultados la confianza de sus clientes. Su Visión se enfoca en la disposición de trabajar en equipo con Responsabilidad y Profesionalismo, para ser una Empresa con clientes y trabajadores satisfechos. Organigrama General de Akicars, C.A. GERENCIA GENERAL
COORDINADOR GENERAL
COMPRAS
ASISTENTE DE COMPRAS
FACTURACIÓN
VENTAS
ANALISTA DE PRECIOS
ANALISTA DE VENTAS
FACTURADOR
VENDEDOR
SISTEMAS
SOPORTE TÉCNICO
Rama de dedicación La empresa realiza su actividad comercial a la venta al detal de repuestos originales de vehículos de marcas coreanas y partes eléctricas para todo tipo de vehículo.
Mercado que atiende Akicars, C.A, es un Detal desde donde cualquier tipo de persona que disponga de algún requerimiento con respecto a algún repuesto de su auto podrá acercarse y comprar la pieza a un costo por unidad. GERENCIA O ÁREA DE INFORMÁTICA
Objetivos Generales y Específicos Proveer de soporte informático a las áreas que se llevan a cabo dentro de la Coordinación General. Analizar, desarrollar, implementar, mantener y controlar el Sistema Informáticos de la empresa Mantener y administrar la red de datos. Hacerse cargo de todo el equipamiento informático, llevando el control del mismo por medio de inventarios. Establecer las políticas de seguridad informática pertinentes. Especificaciones de Cargos Gerente de Sistemas: Supervisa y coordina todas las actividades relacionadas con el funcionamiento y operatividad de cada una de las unidades informática y tecnológica de la empresa, a
fin de garantizar el óptimo que la comunicación en red sea efectiva dentro de la empresa y sus sucursales. Soporte técnico: Ejecutar las actividades relacionadas con el helpdesk a todos los usuarios administrativos de la empresa con el fin de mantener y garantizar el buen funcionamiento de los PC de la organización. EVALUACIÓN DE LOS SISTEMAS Evaluación de los diferentes sistemas en operación (Flujo, procedimientos, documentación, organización de archivos, estándares de programación, controles, utilización de los sistemas, opiniones de usuarios) Para evaluar los sistemas en operación dentro de la empresa es necesario establecer una comunicación con los distintos departamentos que integran la organización, así como también conocer sus procesos internos. Actualmente tienen desarrollado todo su sistema de información utilizando la herramienta Visual fox Pro en su versión 9. Por otro lado los procedimientos no siguen un estándar lo que indica que no existe controles que garanticen la calidad de los mismos. No se haya ningún tipo de documentación que indique el funcionamiento de los sistemas en operación, es bien sabido que es esencial para proporcionar entendimiento del sistema lo que facilita entonces su mantenimiento y evaluación además de permitirle a los usuarios una guía que indique como interactuar con el y explicar su funcionamiento. Seguridad lógica de los sistemas, confidencialidad y respaldos Seguridad de información es mucho más que establecer firewalls, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en
la bóveda los backups. Seguridad de información es determinar qué hay que proteger y por qué, de qué se debe proteger y cómo protegerlo. La seguridad lógica con que se cuenta
no está estandarizada
ni está
documentada, la AKICARS, C.A cuenta con una red cerrada, sus sistemas son locales; de igual forma los equipos tiene salida a la nube (internet) pero no se cuenta con ningún software que proteja los sistemas de ataques por medio de las puertas que crea el internet. No existe un procedimiento de respaldo para programar backups a través de librerías y cintas de almacenamiento masivos. Los respaldos los realiza el encargado de manipular el software, pero no es una exigencia de la empresa, se realiza por seguridad ò para su propio beneficio, es decir que no ocurra un accidente cuando se modifique una tabla de una DB (Data Base).
Derechos de autor y secretos industriales, de los sistemas propios y los utilizados en la organización. En cuanto al conjunto de normas y principios que regulan los derechos morales y patrimoniales, encontramos que en la Akicars C.A cuenta con un sistema propio manejado por un único ya que cuenta con la administración de usuario y contraseña estableciendo restricciones, con el uso de los conceptos de autenticación y autorización, basados en requerir una cuenta de usuario válida y activa, además de un conjunto de roles que le permitirán al usuario realizar solo aquellas operaciones que se le han asignado con el uso de este módulo de administración. Todo este chequeo es realizado, al iniciar la aplicación y luego comprueba la autorización a las distintas funcionalidades del sistema.
De esta forma el usuario solo podrá hacer lo que se le asigne y permitirá aumentar la fiabilidad del sistema. De esta forma el usuario solo va a tener los roles que le son asignados y solo va a poder interactuar con
los procedimientos
almacenados que tengan permiso a ejecutar sus roles, brindado así un nivel muy alto de seguridad y el control de las operaciones a realizar.
Evaluación de las bases de datos. Según la Forma Normal de Boyce-Codd (o FNBC) es una forma normal utilizada en la normalización de bases de datos. Es una versión ligeramente más fuerte de la Tercera forma normal (3FN). La forma normal de Boyce-Codd requiere que no existan dependencias funcionales no triviales de los atributos que no sean un conjunto de la clave candidata, en este modelo todos los datos son almacenados en relaciones, y como cada relación es un conjunto de datos, el orden en el que éstos se Almacenen no tiene relevancia (a diferencia de otros modelos como el jerárquico y el de red). Esto tiene la considerable ventaja de que es más fácil de entender y de utilizar por un usuario no experto. La información puede ser recuperada o almacenada por medio de consultas que ofrecen una amplia flexibilidad y poder para administrar la información. En el sistema de Akicars C,A, las Bases de datos no siguieron un estándar en su totalidad, es decir las tablas fueron concebidas desde el principio utilizando Microsoft Excel como herramienta, luego estos formatos eran guardados
con
extensión “. DBF “, es por esto que existen redundancias e incongruencias en los datos actuales.
PLANIFICACIÓN DE LA AUDITORIA Objetivo, alcance y criterio de la auditoria El enfoque será exclusivamente verificar si el manejo de la información por parte del departamento de sistemas se rige en los actuales estándares de calidad, como es mencionado en el marco de trabajo de Cobit Versión 4.1 año 2007. Se Indagara si el empleo de estas prácticas
apoyan la productividad de la
organización, y si las estrategias de gestión y seguimiento de los procesos en pro de favorecer la correcta estructura de las Bases de Datos, como lo menciona el estándar actual del modelo relacional creado por Edgar Frank Codd, en IBM (International business Machines). Manejo de los recursos (personal, tiempo, aéreas) Para llevar a cabo todas estas tareas se realizara previamente un estudio donde observaremos el estado general del departamento de sistemas y su situación actual, verificar si existe la información solicitada, si es o no necesaria y la fecha de su última actualización. Sera necesario recopilar
la información para obtener una
visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. Esta información será recopilada por especialista en un tiempo determinado y en el área especifica de interés. Personal: Es personal en cargado de realizar el servicio de Auditoria esta conformado por: Alfonsina Bolívar, María Flores, Luis Velázquez, Antony Correa. Tiempo: El servicio de auditoria se llevara a cabo en un lapso de tres meses. Área: Departamento de informática de la Akicars C.A.
Adquisición La empresa cuenta con equipos apto para el trabajo, que permite el desarrollo dentro de dicha organización, mas sin embargo es primordial poder contar con la posibilidad de avanzar al compás de la tecnología para obtener más beneficios de los equipos de trabajos se utilizan actualmente en Venezuela. El principal interés es responder a las necesidades del mercado que demanda piezas o repuestos automotrices por unidad, y para que esto sea efectivo es fundamental contar con los mecanismos necesarios y de buena calidad. Controles. La documentación de los procesos que se relacionan con los equipos no existen, no se encuentran de forma específica, realmente solo cuentan con parlamento y manuales muy débiles, la documentación es insuficiente, existe una gerencia que se encarga de las labores de planificación y gestión, pero solo abocado a solventar el día a día, no facilitaron los planes a futuro. Nuevos Proyectos de adquisición. El proyecto como tal, si está preparado para enfrentar un proceso de buena calidad, solo hace falta pulir un poco más la estructura de forma científica o al menos apoyada en una auditoria, la empresa está de acuerdo someterse a cambios tecnológicos siempre y cuando sean beneficiosos para sí mismo. Almacenamiento Actualmente se sigue la arquitectura Cliente/Servidor. Pero no cuentan con un diseño predefinido por ellos, por ejemplo:
IBM define al modelo Cliente/Servidor. "Es la tecnología que proporciona al usuario final el acceso transparente a las aplicaciones, datos, servicios de cómputo o cualquier otro recurso del grupo de trabajo y/o, a través de la organización, en múltiples plataformas. El modelo soporta un medio ambiente distribuido en el cual los requerimientos de servicio hechos por estaciones de trabajo inteligentes o "clientes'', resultan en un trabajo realizado por otros computadores llamados servidores". Comunicación.
En la red lógica, su topología es estrella una red en la cual las estaciones están conectadas directamente a un punto central y todas las comunicaciones se han de hacer necesariamente a través de éste. Los dispositivos no están directamente conectados entre sí, además de que no se permite tanto tráfico de información. La mayoría de las redes de área local que tienen un enrutador (router), un conmutador (switch) o un concentrador (hub) siguen esta topología. El nodo central en estas sería el enrutador, el conmutador o el concentrador, por el que pasan todos los paquetes., donde las estaciones accedan a través de un Switch. Seguridad lógica y confidencialidad No cuentan con un bloqueador de páginas como firewalls, la seguridad lógica no está ajustada
y la privacidad no está definida, no existe limitaciones o
restricciones por autoridad según el cargo, las paginas no seguras están abiertas sin ningún tipo de bloqueador emergente. Seguridad en el Personal La seguridad del personal que labora en la empresa está enfocada desde dos puntos de vista, la seguridad del personal al momento de trabajar con los sistemas informáticos, estos deben estar en óptimas condiciones para que no causen daño a las
personas, y la seguridad de los sistemas informáticos con respecto al mal uso de los mismos por parte de los empleados. Ambos puntos de vistas son considerados al momento de diseñar cualquier proceso dentro de la empresa ya que son personas que forman parte directa en los asuntos informáticos y de seguridad de la organización.
Seguridad contra virus El antivirus que se utiliza actualmente en la empresa no es actualizado, no cuenta con licencia y el ataque de virus es cada vez más fuerte, eso se debe a los nuevos virus maliciosos y el antivirus que no está renovada, por tales motivos se ve sometida a resguardar información en dispositivos de almacenamiento masivo y en red privada. DEBILIDADES Y FORTALEZAS Análisis del manejo de la información en la Akicars, C.A Fortaleza’s Debilidades Estructura organizativa establecida. Riesgo a incongruencia de Datos Equipos (hardware) consolidados. Carencia de Manuales de Calidad y Cuentan
con
apoyo
procedimientos tecnológico Vulnerabilidades
en
el
sistema
de
internacional. software a ataques de Virus. Manejador de base de datos Certificado No existe un procedimiento de respaldo internacional mente. (Visual Fox Pro) Redes certificadas por estándares Cisco.
seguro o consolidado. Riesgo de filtrado de información (no existe autentificación de usuarios).
CONCLUSIONES
Actualmente en el departamento de sistemas de la Akicars C. Ano existe un seguimiento institucional o por lo menos no existe en físico (papel)
una
documentación donde refleje el soporte del sistema, pues en ella se plasman no sólo las formas de operar de la organización sino toda la información que permite el desarrollo de todos los procesos y la toma de decisiones, no se observa preocupación por los avances del departamento sino el cumplimiento propio y personal sobre los sistemas. Además no hacen uso de diversas metodologías para la implementación de sistemas de gestión de la calidad y la elaboración de la documentación como una etapa importante de estos sistemas (fundamentalmente Manuales de Calidad y procedimientos). RECOMENDACIONES •
Establecer un controlador de dominio, para autentificar los usuarios donde se
garantizara o denegara el acceso a recursos compartidos o a otra máquina de la red, a través del uso de contraseñas. •
Adquirir una licencia actualizada contra ataques de virus, que se encargue de
resguardar la información combatiendo los virus informáticos. •
Desarrollar Manuales de Calidad y procedimientos, que sean capaces de
garantizar que el sistema documental funcione como tal y pase a ser una herramienta eficaz para la administración de los procesos.